信息安全等级保护背景下校园网安全体系建设初探
2016-10-18何磊
何磊
"""摘要:该文结合我国信息安全等级保护工作的要求,阐述了在网络安全形势日益严峻的背景下,从安全技术和网络管理两方面构建起校园网络安全体系,保障校园网上信息、资源以及大规模用户群体的网络安全。
关键词:等级保护;校园网;网络安全
中图分类号:TP393.0 文献标识码:A 文章编号:1009-3044(2016)21-0026-02
Abstract: This article explained that in the background of the increasingly severe network security situation, how to protect the campus network information, resources and large-scale users network security by establishing campus network security system from both aspects of security technology and network management under the requirement of classified protection of information security issued.
Key words: classified protection;campus network;network security
随着互联网技术的不断发展,高校校园网的网络规模迅速壮大,网络资源不断丰富,已经成为高校教学、科研和管理等各项工作开展的重要平台。近年来,随着网络安全形势日益严峻,我国提出了信息安全等级保护的工作策略,特别是中央网络安全和信息化领导小组的成立,将网络安全推向更高的战略高度。信息安全等级保护是我国对信息和信息载体按照重要性等级分级别进行保护的一种工作,其工作内容包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。校园网作为一种较为特殊的网络形式,构建起符合信息安全等级保护要求的网络安全体系,已成为当前校园网建设的重点工作。
1 校园网络安全的现状
高校校园网是一种用户群体性较强、教育科研资源较为丰富、结构较为复杂且功能多样的高密度接入网络。由于提供面向互联网提供信息服务,我校校园网边界和各类服务器经常遭遇来自互联网IP的各种攻击和试探;由于以学生为主体的活跃用户群体信息安全意识较为薄弱,用户个人终端安全问题,如病毒、木马等造成的校园网内部安全事件也时有发生;校园内各种独立专网与校园网互联的边界管理模糊,缺乏必要的安全隔离措施。种种情况表明,建设符合信息安全等级保护要求,且符合校园网络特点的网络安全体系已经迫在眉睫。
2 校园网络安全的技术防范措施
2.1 校园网区域的划分
根据校园网范围内不同的特征,将我校校园网逻辑上划分为内网用户区域、公共服务器区域、内网服务区域以及独立专网区域,分而治之,以便在不同区域内部和编辑制定不同的防范措施和策略,具体区域划分如图1。
2.2 校园网不同逻辑区域的安全策略
2.2.1 外网区域与校园网互联边界的安全技术策略
外网区域是相对整个校园网而言,是校园网与各类运营商网络互联的边界,在这两个区域的边界,最重要的是考虑访问控制和网络的逻辑隔离。按照信息安全等级保护的要求我校利用防火墙技术隔离两个区域,并结合校园网的特点制定详细的访问控制和过滤策略,宏观上建立起校园网安全体系的第一道防线。
我们将防火墙连接的三个区域分别定义为ExtraNet(ISP接入)、DMZ区域(放置服务器)、IntraNet(连接校园网),结合包过滤防火墙特点,基于访问端口非需要不开启的原则制定了三个区域互访的共计5条策略。如图2所示,其中一条ExtraNet对DMZ区域访问访问策略,我们根据实际访问需求仅开放了以下访问端口。
2.2.2 校园网服务器区域的安全策略
校园网的服务器区域包括图一中的公共服务器区域和内网服务器区域,这里存放着大量的提供对内和对外网络服务的各类应用系统,等级保护相关标准中也对服务器的物理安全、自身系统安全以及访问控制策略的设置等提出了要求。因此除了防火墙针对DMZ区域的宏观访问控制策略外,我们在服务器区域部署了小型IPS系统,并结合服务器所承载的应用系统及操作系统特征,制定有针对性的安全策略,如TCP连接控制、操作系统补丁、服务器安全软件及按需开启服务端口等,进一步细化针对服务器区域的访问控制。例如,图3是我们针对某提供公共web服务的服务器制定的一些特殊访问策略:
2.2.3 校园网内各类专用网络与校园网边界互联的安全策略
由于信息化建设的推进和各类应用业务系统的多样化,校园网内存在以一卡通财务系统、校园安防监控系统为代表的各类独立的应用系统物理专网。随着数字化校园建设的不断深入,数据中心需要从原本独立的专网中提取相关的业务数据,由于数据源的高敏感性和对网络安全性的高要求,如何解决校园网和业务专网连接的边界安全,成为校园网内部安全的新需求。
以我校能源管理专网、一卡通专网与校园网对接的需求为例:能源管理系统的一部分数据需要通过校园网进行公示,同时为了方便学生通过一卡通POS机刷卡购电需要和一卡通系统进行数据对接,而校园网数据中心也需要提取这两部分数据作为公共服务系统的一部分数据来源,如图4。我们在网间边界防火墙上划分了三个区域,制定了只允许校园网服务器地址和两个前置服务器地址的互访策略,关闭了除业务端口以外的所有访问专网内部的端口,在进一步保障了专网的独立安全运行的同时,实现了三张网的数据共享。
2.2.4 校园网内部用户的安全管理
高密度的内网用户接入是校园网的重要特点之一。在信息安全等级保护中,也强调了对内部网络用户的身份认证、网络行为管理和审计等规范化管理措施。为了规范管理校园用户,我校建立了从人事系统及教务系统等校园内关于“人”的权威数据源中抽取校园网用户身份信息的Radius数据库;所有校园网准入和准出系统均与此数据库对接进行用户身份信息的验证,实现了用户与账号的一一对应;在校园网出口处部署了上网行为管理设备和日志系统,管理和记录内网用户的上网行为,并结合认证系统建立起用户名、MAC地址、源IP地址、目的IP地址及访问时间等多位一体的符合等级保护要求及公安部门要求的日志数据库。
3 结语
信息安全等级保护工作大大推动了校园网安全体系的建设,但随着互联网技术的不断发展,新的网络安全问题也在不断出现,如针对具体web应用的安全问题、用户群体终端问题导致的内网攻击问题等等。面对层出不穷的校园网络安全隐患,在不断补强和更新技术防护手段的同时,还需要学校能够细化和规范校园网的各类管理制度,加强信息化工作人员的安全技术培训,提高校园网用户自身的网络安全意识,构建起多维度的校园网安全体系。
参考文献:
[1] 周佑源, 张晓梅.信息安全管理在等级保护实施过程中的要点分析[J].信息安全与通信保密,2009(9).
[2] 于慧龙,李萍.大型信息系统安全域划分和等级保护[J].计算机安全,2006(7).
[3] 李春霞,齐菊红.校园网安全防御体系的相关技术及模型[J].自动化与仪器仪表,2014(1).
[4] 王国振.高校网络信息安全与应对机制探究[J].计算机安全,2014(1).
信息安全台帐是信息安全管理的基础,我们在做网站安全管理的时候,首先需要了解学校到底有多少网站,分别归属于哪些单位管理和建设,网站的用途,网站采用的技术架构,网站服务器的基本情况,网站管理员的情况等等,只有建立了网站信息安全台帐,我们在网站安全管理的时候才能有的放矢,在出现安全故障时才能够快速联系到网站的负责单位和负责人进行相关处理,相关技术漏洞出现后可以及时通知进行补丁修复。
建立网站信息安全台帐,是通过每年下发公文要求各单位自行申报自办及下属单位网站,这样可以了解大部分网站的建设信息;另外对于新建网站,在申请开通校外访问端口和学校域名之前必须先进行网站信息登记;
3.2 建立网站安全准入与退出机制
网站安全准入是指学校单位在申请自建网站和发布网站的时候必须经过学校的网站备案和安全检测,确保只有安全性符合要求的网站才可入互联网,从源头就把存在安全问题的网站拒之门外。
网站归档退出是针对不再使用的网站或长期无人管理维护的网站而建立的一种退出机制,其目的在于清退无用的网站,减少网站安全风险。同时对于有重大安全隐患的网站采取下线处理,等待整改通过后才允许上线。
3.3 明确安全责任主体 实行安全责任人制度
学校成立信息安全领导小组,由校领导担任组长,并任命各单位主要负责人是网络与信息安全的第一责任人,负责整个单位的网络和信息安全;明确网站“谁主办谁负责”的责任制度,之前很多单位都对网站安全认识不足或者认为网站安全问题应该归学校相关技术部门管,通过明确责任主体,让各单位开始重视自建网站的安全问题,推动各级单位领导重视网站安全问题,积极配合网站安全漏洞修复。
3.4 提供统一网站建设平台 减少安全风险
高校早期的网站基本上是各部门委托公司或者找学生利用ASP、JSP等语言开发的动态网站,由于网站管理维护跟不上,加上开发人员水平参差不齐,网站漏洞百出,经常面临被挂木马、SQL注入、脚本漏洞攻击等威胁。[4]
在被通报的各类高校网站安全事故中大部分是一些二级单位子网站,高校主网站相对比较安全;遍布在学校各学院、部处、直属单位甚至各实验室的大大小小几十个甚至上百个网站,为高校的网站安全管理带来众多的安全隐患。
通过网站群系统,初步实现高校网站的统一部署、分级管理、信息共享和专人维护,改善了原有网站建设中的管理无序、信息孤岛、资源浪费等现象。更为重要的是网站群系统作为学校信息基础平台是由有专业技术力量的信息办或网络中心进行管理和维护;网站群系统作为校级重点安全防护系统,通过第三方的等级保护评测,定期安全巡检等措施保护网站群系统自身的安全。避免了二级单位自建网站缺乏技术力量导致的安全困境。
3.5 完善网站安全架构和安全设备 为网站安全管理提供技术保障
各类安全技术手段是高校网站安全策略的重要组成部分,通过完善网站安全架构,购买网站安全设备,为网站安全防护提供技术保障;
在网站安全部署上一般通过网络防火墙实行内外网隔离方式,网站的管理和发布端分开部署,管理端部署在内网,发布端部署在外网,发布的网站采用静态化的方式,外网访问管理端需要使用VPN进行连接;
重要网站前端采用负载均衡设备,应对大规模访问;实行外部存储一天一备,并实行异地备份,以确保网站数据安全;
核心的网站应用外部署WAF(web应用防火墙) 进行防护,阻止网络攻击和sql注入;
重要的静态网站服务器通过采用强认证的网页防篡改系统进行防护,比如主页服务器和网站群系统发布服务器等。
4 结论
高校网站安全管理是一项长期的艰巨的工作。在技术与管理的双轮驱动下,除了文中所述及点外我们还需要通过建立健全的组织体系、管理规章和责任制度,进一步落实国家信息安全等级保护制度,增强安全预警、应急处置和灾难恢复能力,提高高校网站整体安全防护水平。
参考文献:
[1] 张庆吉,曹连刚,赵玉秀.高校网站安全问题分析及其对策 [J].电子商务,2010(6):58-59.
[2] 360互联网安全中心.2013年中国高校网站安全报告[EB/OL]. 北京:360互联网安全中心.[2014-1-1].http://zt.360.cn/1101061855.php?dtid=1101062368&did=1101062961.
[3] 吕美敬, 叶新恩, 刘明刚.浅谈高校网站群安全管理与对策分析[J].山东工业技术,2016(9):130-131.
[4] 杨建军.基于网站安全的解决方案[J].计算机安全,2011(10):52-56.